Configurare Microsoft Distributed Transaction Coordinator (DTC) per l'utilizzo di un firewall

Questo articolo descrive come configurare Microsoft Distributed Transaction Coordinator (DTC) per l'utilizzo dei firewall.

Numero KB originale: 250367

Ulteriori informazioni

È possibile configurare DTC per comunicare tramite firewall, inclusi i firewall di conversione degli indirizzi di rete.

DTC usa l'allocazione di porte dinamiche RPC (Remote Procedure Call) per impostazione predefinita. L'allocazione di porte dinamiche RPC seleziona in modo casuale i numeri di porta nell'intervallo 49152-65535. Modificando il Registro di sistema, è possibile controllare quali porte RPC allocano dinamicamente per le comunicazioni in ingresso. È quindi possibile configurare il firewall in modo da limitare la comunicazione esterna in ingresso solo a tali porte e alla porta 135 (porta mapper endpoint RPC). È consigliabile usare la porta fissa per i servizi DTC o l'intervallo dinamico 49152-65535 predefinito nei firewall per evitare l'esaurimento delle porte e modificare solo le porte RPC personalizzate se i firewall non possono filtrare su computer o INDIRIZZI IP.

È possibile avere un'istanza DTC locale e più istanze DTC in cluster. Potrebbe essere necessario fornire più porte dinamiche in ingresso per altri sottosistemi che si basano su RPC, pertanto è consigliabile mantenere l'intervallo RPC predefinito anche se si usa la porta fissa per i servizi DTC.

Le chiavi e i valori del Registro di sistema descritti in questo articolo non vengono visualizzati nel Registro di sistema per impostazione predefinita; è necessario aggiungerli usando l'editor del Registro di sistema.

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedere Come eseguire il backup e il ripristino del Registro di sistema in Window.

Configurare DTC per l'uso di una singola porta fissa

Seguire questa procedura nei computer coinvolti nelle transazioni DTC per impostare la porta fissa per DTC. Il firewall deve essere aperto in entrambe le direzioni per la porta fissa e la porta 135 (porta mapper endpoint RPC):

1. Per avviare l'editor del Registro di sistema, selezionare Start, selezionare Esegui, digitare regedt32 e quindi selezionare OK.
2. Nell'editor del Registro di sistema selezionare HKEY_LOCAL_MACHINE nella finestra Computer locale.
3. Espandere l'albero selezionando due volte le cartelle denominate nel HKEY_LOCAL_MACHINE\Software\Microsoft\MSDTC percorso.
4. Selezionare la cartella MSDTC e quindi selezionare Nuovo > valore DWORD (32 bit) nel menu Modifica .
5. Modificare il nome in ServerTcpPort.
6. Fare clic con il pulsante destro del mouse e scegliere Modifica sul nuovo valore.
7. Nella finestra di dialogo Editor valori selezionare Decimale e quindi inserire il numero di porta fisso, ad esempio 40001, nel campo Dati valore e quindi selezionare OK.

Per configurare la porta fissa per le istanze DTC in cluster, è necessario trovare il GUID della risorsa cluster e aggiungere il valore ServerTcpPort in questo percorso. Usare un numero di porta diverso per ogni istanza DTC. Ad esempio, se il GUID della risorsa DTC è 012345678-9abc-def0-1234-56789abcdef0, si troverà in questo percorso: HKEY_LOCAL_MACHINE\Cluster\Resources\012345678-9abc-def0-1234-56789abcdef0\MSDTCPRIVATE\MSDTC. Ripetere i passaggi per altre risorse cluster DTC.

In alternativa, è possibile usare i reg add comandi negli script con privilegi di amministratore per eseguire questa operazione. Modificare l'esempio seguente in base al GUID del cluster specifico se viene usata l'istanza DTC in cluster:

reg add HKLM\SOFTWARE\Microsoft\MSDTC /v ServerTcpPort /t REG_DWORD /d 40001 /f
reg add HKLM\Cluster\Resources\012345678-9abc-def0-1234-56789abcdef0\MSDTCPRIVATE\MSDTC /v ServerTcpPort /t REG_DWORD /d 40002 /f

Configurare RPC per l'uso dell'intervallo di porte del cliente

Seguire questa procedura nei computer coinvolti nelle transazioni DTC in cui i firewall impediscono la comunicazione completa per controllare l'allocazione delle porte dinamiche RPC. Il firewall deve essere aperto in entrambe le direzioni per le porte specificate e la porta 135 (porta mapper endpoint RPC):

1. Per avviare l'editor del Registro di sistema, selezionare Start, selezionare Esegui, digitare regedt32 e quindi selezionare OK.

   Usare Regedt32.exe anziché Regedit.exe. Regedit.exe non supporta il tipo di dati REG_MULTI_SZ necessario per il valore Porte.

2. Nell'editor del Registro di sistema selezionare HKEY_LOCAL_MACHINE nella finestra Computer locale.

3. Espandere l'albero selezionando due volte le cartelle denominate nel HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc percorso.

4. Selezionare la cartella RPC e quindi selezionare Aggiungi chiave dal menu Modifica .

5. Nella finestra di dialogo Aggiungi chiave digitare Internet nella casella Nome chiave e quindi selezionare OK.

6. Selezionare la cartella Internet e quindi aggiungi valore dal menu Modifica .

7. Nella finestra di dialogo Aggiungi valore digitare Porte nella casella Nome valore.

8. Nella casella Tipo di dati selezionare REG_MULTI_SZ e quindi selezionare OK.

9. Nella casella Dati della finestra di dialogo Editor multi-stringhe specificare la porta o le porte che si vuole usare RPC per l'allocazione dinamica delle porte e quindi selezionare OK.

   Ogni valore stringa digitato specifica una singola porta o un intervallo di porte inclusivo. Ad esempio, per aprire la porta 40000, specificare 40000 senza virgolette. Per aprire le porte da 40000 a 42000 inclusi, specificare 40000-42000 senza virgolette. È possibile specificare più porte o intervalli di porte specificando una porta o un intervallo di porte per riga. Tutte le porte devono essere incluse nell'intervallo compreso tra 1024 e 65535. Se una porta non è compresa in questo intervallo o se una stringa non è valida, RPC considererà l'intera configurazione come non valida.

   Microsoft consiglia di aprire le porte dalla versione 20000 e successiva, perché le porte inferiori possono spesso essere usate da altre applicazioni e che si aprono almeno 1000 porte per evitare l'esaurimento delle porte. Nei sistemi a carico elevato potrebbero essere necessarie più porte. L'intervallo predefinito 1024-5000 è stato spostato in Windows 2008 e superiore a 49152-65535 intervallo per evitare l'esaurimento delle porte.

10. Seguire i passaggi da 6 a 9 per aggiungere un'altra chiave per Internet, usando questi valori:

    Valore: PortsInternetAvailable
    Tipo di dati: REG_SZ
    Dati: Y

    Questo valore indica che le porte elencate nel valore Porte devono essere rese disponibili per Internet.

11. Seguire i passaggi da 6 a 9 per aggiungere un'altra chiave per Internet, usando questi valori:

    Valore: UseInternetPorts
    Tipo di dati: REG_SZ
    Dati: Y

    Questo valore indica che RPC deve assegnare dinamicamente le porte dall'elenco di porte Internet.

12. Configurare il firewall per consentire l'accesso in ingresso alle porte dinamiche specificate e alla porta 135 (porta mapper endpoint RPC).

13. Riavviare il computer. Quando RPC viene riavviato, le porte in ingresso verranno assegnate in modo dinamico, in base ai valori del Registro di sistema specificati. Ad esempio, per aprire le porte da 40000 a 42000 inclusi, creare questi valori denominati:

    Porte : REG_MULTI-SZ : 40000-42000
    PortsInternetAvailable : REG_SZ : Y
    UseInternetPorts : REG_SZ : Y

DTC richiede anche la risoluzione dei nomi di computer tramite NetBIOS o DNS. Verificare che NetBIOS sia abilitato nelle proprietà della scheda di interfaccia di rete e verificare se NetBIOS può risolvere i nomi usando ping e il nome del server. Il computer client deve essere in grado di risolvere il nome del server. E il server deve essere in grado di risolvere il nome del client. Se NetBIOS non riesce a risolvere i nomi, aggiungere voci ai file LMHOSTS nei computer.